見積書に偽装した情報流出型マルウェアが拡散中(Google Drive利用)

AhnLab ASEC 分析チームは2020年3月4日、見積書に偽装した情報奪取型(キーボード入力値の流出)マルウェアが拡散していることを確認した。2次マルウェアのダウンロードアドレスが、一般人がよく使用する Google Drive(https://drive.google.com) を利用している点も、正常な行為に偽装するためのものと推定される。このマルウェアは、当社が以前公開した AutoCAD 図面ファイル(dwg)に偽装した以下のマルウェアと同じタイプであると確認された。 以下の [図1] のように、メール内部に正常な見積書の画像(img)ファイルが添付されており、その画像ファイル内部には不正な実行ファイルが存在する。 不正なファイルが実行されると、以下のように自身をコピーして、コピーしたファイルを実行する機能の…

偽のWindows画面と共にインストールされる新種のランサムウェア、韓国国内で発見(*.rezm拡張子)

AhnLab ASEC 分析チームは2020年3月2日、偽の Windows アップデート画面と共にインストールされる新種のランサムウェアを発見した。このランサムウェアは、既に韓国の国内で広く出回っている Bluecrab、Nemty、Paradise というランサムウェアと同じパッカー(Packer)を使用して拡散しており、暗号化されたファイルは拡張子に .rezm が追加される特徴を持つ。 ファイルを実行すると、以下のアドレスから Fake の Windows アップデートファイルをダウンロードして実行し、ユーザーには Windows…

特定環境でのみ動作する、新たな動的解析の回避手法

AhnLab ASEC 分析チームは、活発に出回っているマルウェアを監視している最中に、新たな形式の動的解析回避手法を確認した。最近、多数出回っているマルウェアは、診断を回避するための目的でマルウェアの実行環境を確認したあと、条件を満たしている場合は Crash を発生させて動作しないようにする。 今回紹介する手法は、特定のアセンブリ言語を使用する方法と、サイズが大きいメモリの割り当てが可能かどうかを確認する方法である。 1.     AVX の対応可否(VXORPSコマンド) 「VXORPS」コマンドを使用して AVX に対応していない環境で動作する場合、 Crash…

ファイルレス形式「BlueKeep」の脆弱性V3行為検出映像

2019年5月14日、MicrosoftはBlueKeep(CVE-2019-0708) の脆弱性に対するパッチのために緊急のセキュリティ更新プログラムを通知した。また、すでにサービスのサポートを終了した OS(Windows XP、Windows Vista、Windows Server2003) までの更新を例外的に提供し、BlueKeep の脆弱性を2017年の EternalBlue の脆弱性と同じく、「Wormable(ワームの侵入を許す)」脆弱性として悪用される可能性があると警告した。 BlueKeep は、クライアントとサーバー間の…

V3 Lite 4.0 新しい検出機能の紹介:マグニバー(Magniber)ランサムウェアのブロック

ファイルレス(Fileless)形式で動作するマグニバー(Magniber)ランサムウェアは、2018年4月にASEC のブログを通して復旧ツールを配布した後、暗号化方式の変化によって2018年6月から現在までに登場しているすべての形式において、復旧が不可能な形態で拡散している。現在も国内での被害事例が多い状況であり、IEの脆弱性(CVE-2018-8174)を利用して拡散しているため、IEユーザーの場合はセキュリティパッチの適用が必須とされている。 AhnLab ASEC 分析チームでは、Magniber ランサムウェアの拡散場所を継続的に監視しており、1)11月11日以降、動作方式の変化を確認した。どのような動作方式の変化があったのかを説明し、V3 Lite 4.0 製品に新しく適用された「プロセスのメモリ診断」検出機能による2)暗号化ブロックのプロセスを紹介する。 Magniber ランサムウェアは、IEブラウザの脆弱性を利用した感染により(別途ファイル生成を行わずに)ファイルレス形式で動作し、ランサムウェア行為を実行する主体は、感染システムの多数の正常なプロセスである。すなわち、一度感染すると治療が非常に難ししランサムウェアであると言うことができる。 以下の…